Поделиться через

Справочник по командам CLI от сетевых датчиков OT

В этой статье перечислены команды CLI, доступные из сетевых датчиков OT Defender для Интернета вещей.

Осторожность

Для настройки клиента поддерживаются только задокументированные параметры конфигурации на сетевом датчике OT. Не изменяйте никакие незадокументированные параметры конфигурации или системные свойства, так как изменения могут вызвать непредвиденные сбои поведения и системы.

Удаление пакетов с датчика без утверждения Майкрософт может привести к непредвиденным результатам. Для правильной функциональности датчика требуются все пакеты, установленные на датчике.

Предпосылки

Прежде чем вы сможете выполнить любую из следующих команд CLI, вам потребуется доступ к интерфейсу командной строки на сетевом датчике OT в качестве привилегированного пользователя.

Хотя в этой статье перечислен синтаксис команд для каждого пользователя, мы рекомендуем использовать пользователя admin для всех команд CLI, где поддерживается пользователь admin .

Дополнительные сведения см. в разделах Доступ к интерфейсу командной строки и Доступ привилегированных пользователей для мониторинга OT.

Список доступных команд

Категория командование
конфиг конфиг
система Дата резервного копирования
Имя
хоста
NTP
Пароль
Перезагрузка
Sanity
Shell
Выключение
Версия системного журнала
сеть мигание
, захват-фильтр,
список
, пинг
, перенастройка
, статистика
, проверка

Список команд в категории

Чтобы получить список команд в категории, введите help. Рассмотрим пример.

shell> help
config:
network:
system:

shell> help system
backup:
date:
ntp:

Команды на уровне оболочки и категории

Команды можно вводить на уровне оболочки или категории.

На уровне оболочки type: <category><командный><параметр>.

Либо <введите категорию> и нажмите клавишу ENTER. Оболочка изменится на название категории, затем введите <параметр> команды<>. Рассмотрим пример.

shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

Техническое обслуживание прибора

Проверка работоспособности служб мониторинга ОТ

Используйте следующие команды, чтобы убедиться, что приложение Defender для Интернета вещей на датчике OT работает правильно, включая веб-консоль и процессы анализа трафика.

Проверка работоспособности также доступна с консоли датчика OT. Дополнительные сведения см. в разделе "Устранение неполадок датчика".

Пользователь командование Полный синтаксис команд
Администратор system sanity Нет атрибутов
cyberx, или admin с root-доступом cyberx-xsense-sanity Нет атрибутов

В следующем примере показан синтаксис команды и ответ для пользователя admin :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Перезапуск устройства

Используйте следующие команды для перезапуска устройства датчика OT.

Пользователь командование Полный синтаксис команд
Администратор system reboot Нет атрибутов
cyberx_host или администратор с root-правами sudo reboot Нет атрибутов

Например, для пользователя admin :

shell> system reboot

Выключение прибора

Используйте следующие команды для выключения устройства датчика OT.

Пользователь командование Полный синтаксис команд
Администратор system shutdown Нет атрибутов
cyberx_host или администратор с root-доступом sudo shutdown -r now Нет атрибутов

Например, для пользователя admin :

shell> system shutdown

Показать установленную версию программного обеспечения

Используйте следующие команды, чтобы получить список версий программного обеспечения Defender для Интернета вещей, установленных на датчике OT.

Пользователь командование Полный синтаксис команд
Администратор system version Нет атрибутов
cyberx или admin с root-доступом cyberx-xsense-version Нет атрибутов

Например, для пользователя admin :

shell> system version
Version: 22.2.5.9-r-2121448

Отображение текущей системной даты/времени

Используйте следующие команды для отображения текущей системной даты и времени на датчике сети OT в формате GMT.

Пользователь командование Полный синтаксис команд
Администратор system date Нет атрибутов
cyberx или admin с root-доступом date Нет атрибутов
cyberx_host или администратор с root-правами date Нет атрибутов

Например, для пользователя admin :

shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>

Включение синхронизации времени NTP

Используйте следующие команды, чтобы включить синхронизацию времени работы устройства с сервером NTP.

Чтобы использовать эти команды, убедитесь, что:

  • Доступ к NTP-серверу осуществляется через порт управления устройством
  • Вы используете один и тот же NTP-сервер для синхронизации всех сенсорных устройств
Пользователь командование Полный синтаксис команд
Администратор system ntp enable <IP address> Нет атрибутов
cyberx или admin с root-доступом cyberx-xsense-ntp-enable <IP address> Нет атрибутов

В этих командах — IP-адрес действительного сервера IPv4 NTP, <IP address> использующего порт 123.

Например, для пользователя admin :

shell> system ntp enable 129.6.15.28

Отключение синхронизации времени NTP

Используйте следующие команды, чтобы отключить синхронизацию на время устройства с сервером NTP.

Пользователь командование Полный синтаксис команд
Администратор system ntp disable <IP address> Нет атрибутов
cyberx или admin с root-доступом cyberx-xsense-ntp-disable <IP address> Нет атрибутов

В этих командах — IP-адрес действительного сервера IPv4 NTP, <IP address> использующего порт 123.

Например, для пользователя admin :

shell> system ntp disable 129.6.15.28

Резервное копирование и восстановление

В следующих разделах описываются команды CLI, поддерживаемые для резервного копирования и восстановления системного снимка сетевого датчика OT.

Файлы резервных копий содержат полный моментальный снимок состояния датчика, включая параметры конфигурации, базовые значения, данные инвентаризации и журналы.

Осторожность

Не прерывайте операцию резервного копирования или восстановления системы, так как это может привести к тому, что система станет непригодной для использования.

Начните немедленное незапланированное резервное копирование

Используйте следующую команду, чтобы начать немедленное незапланированное резервное копирование данных на датчике OT. Дополнительные сведения см. в разделе "Настройка файлов резервного копирования и восстановления".

Осторожность

Убедитесь, что вы не останавливаетесь и не выключаете прибор во время резервного копирования данных.

Пользователь командование Полный синтаксис команд
Администратор system backup create Нет атрибутов
cyberx или admin с root-доступом cyberx-xsense-system-backup Нет атрибутов

Например, для пользователя admin :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Список текущих файлов резервных копий

Используйте следующие команды, чтобы получить список файлов резервных копий, которые в настоящее время хранятся на сетевом датчике OT.

Пользователь командование Полный синтаксис команд
Администратор system backup list Нет атрибутов
cyberx или admin с root-доступом cyberx-xsense-system-backup-list Нет атрибутов

Например, для пользователя admin :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Восстановление данных из последней резервной копии

Используйте следующую команду для восстановления данных на сетевом датчике OT с использованием самого последнего файла резервной копии. Когда появится запрос, подтвердите, что вы хотите продолжить.

Осторожность

Убедитесь, что вы не останавливаетесь и не выключаете прибор во время восстановления данных.

Пользователь командование Полный синтаксис команд
Администратор system restore Нет атрибутов
cyberx, или admin с root-доступом cyberx-xsense-system-restore -f <filename>

Например, для пользователя admin :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Отображение распределения дискового пространства для резервного копирования

Следующая команда перечисляет текущее распределение дискового пространства для резервного копирования, включая следующие сведения:

  • Расположение папки резервного копирования
  • Размер папки резервного копирования
  • Ограничения папок резервного копирования
  • Время последней операции резервного копирования
  • Свободное место на диске для резервного копирования
Пользователь командование Полный синтаксис команд
Администратор cyberx-backup-memory-check Нет атрибутов

Например, для пользователя admin :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Управление локальными пользователями

Изменение паролей локальных пользователей

Используйте следующие команды для изменения паролей для локальных пользователей на датчике OT. Новый пароль должен состоять не менее чем из 8 символов, содержать строчные и прописные буквы, буквы, цифры и символы.

Когда вы меняете пароль для администратора , пароль меняется как для SSH, так и для веб-доступа.

Пользователь командование Полный синтаксис команд
Администратор system password <username>

В следующем примере показано, как пользователь admin меняет пароль. Новый пароль не отображается на экране, когда вы его вводите, обязательно запишите его и убедитесь, что он правильно введен при запросе на повторный ввод пароля.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Конфигурация сети

Изменение конфигурации сети или переназначение ролей сетевого интерфейса

Используйте следующую команду для повторного запуска мастера настройки программного обеспечения для мониторинга ОТ, который помогает определить или перенастроить следующие параметры датчика ОТ:

  • Включение/отключение интерфейсов мониторинга SPAN
  • Настройка параметров сети для интерфейса управления (IP, подсеть, шлюз по умолчанию, DNS)
  • Назначение директории резервного копирования
Пользователь командование Полный синтаксис команд
Администратор network reconfigure Нет атрибутов
киберкс python3 -m cyberx.config.configure Нет атрибутов

Например, с помощью пользователя admin :

shell> network reconfigure

Мастер настройки запускается автоматически после выполнения этой команды. Дополнительные сведения см. в разделе "Установка программного обеспечения мониторинга OT".

Проверка и демонстрация конфигурации сетевого интерфейса

Используйте следующие команды для проверки и отображения текущей конфигурации сетевого интерфейса на датчике OT.

Пользователь командование Полный синтаксис команд
Администратор network validate Нет атрибутов

Например, для пользователя admin :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Проверьте сетевое подключение с датчика OT

Используйте следующую команду для отправки сообщения ping от датчика OT.

Пользователь командование Полный синтаксис команд
Администратор ping <IP address> Нет атрибутов
cyberx или admin с root-доступом ping <IP address> Нет атрибутов

В этих командах указывается IP-адрес действительного узла сети IPv4, <IP address> доступный через порт управления на датчике OT.

Найдите физический порт по мигающим индикаторам интерфейса

Используйте следующую команду, чтобы найти определенный физический интерфейс, сделав так, чтобы индикаторы интерфейса мигали.

Пользователь командование Полный синтаксис команд
Администратор network blink <INT> Нет атрибутов

В этой команде <INT> указан физический порт Ethernet на устройстве.

В следующем примере показано, как пользователь admin мигает интерфейсом eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Список подключенных физических интерфейсов

Используйте следующую команду, чтобы вывести список подключенных физических интерфейсов на датчике OT.

Пользователь командование Полный синтаксис команд
Администратор network list Нет атрибутов
cyberx, или admin с root-доступом ifconfig Нет атрибутов

Например, для пользователя admin :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Фильтры захвата трафика

Чтобы уменьшить усталость оповещений и сосредоточиться на мониторинге сети на трафике с высоким приоритетом, вы можете отфильтровать трафик, который передается в Defender для Интернета вещей в источнике. Фильтры захвата позволяют блокировать трафик с высокой пропускной способностью на аппаратном уровне, оптимизируя как производительность устройства, так и использование ресурсов.

Используйте списки включения и/или исключения для создания и настройки фильтров захвата на датчиках сети OT, чтобы убедиться, что вы не блокируете трафик, который хотите отслеживать.

В базовом варианте использования фильтров захвата используется один и тот же фильтр для всех компонентов Defender для Интернета вещей. Однако для расширенных вариантов использования может потребоваться настроить отдельные фильтры для каждого из следующих компонентов Defender для Интернета вещей:

  • horizon: Захватывает данные глубокой проверки пакетов (DPI)
  • collector: Захватывает данные PCAP
  • traffic-monitor: Сбор статистики общения

Замечание

  • Фильтры захвата не применяются к оповещениям Defender для Интернета вещей о вредоносных программах, которые активируются для всего обнаруженного сетевого трафика.

  • Команда фильтра захвата имеет ограничение длины символов, которое зависит от сложности определения фильтра захвата и доступных возможностей сетевой карты. Если запрошенная команда фильтра не удалась, попробуйте сгруппировать подсети в более крупные области и использовать более короткую команду фильтра захвата.

Создание базового фильтра для всех компонентов

Метод, используемый для настройки базового фильтра захвата, различается в зависимости от пользователя, выполняющего команду:

  • cyberx user: Выполните указанную команду с определенными атрибутами для настройки фильтра захвата.
  • admin user: Выполните указанную команду, а затем введите значения в соответствии с запросом CLI, редактируя списки включения и исключения в редакторе nano.

Используйте следующие команды для создания нового фильтра захвата:

Пользователь командование Полный синтаксис команд
Администратор network capture-filter Никаких атрибутов.
cyberx, или admin с root-доступом cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Поддерживаемые атрибуты для пользователя cyberx определены следующим образом:

Свойство Описание
-h, --help Отображает сообщение справки и выходит.
-i <INCLUDE>, --include <INCLUDE> Путь к файлу, содержащему устройства и маски подсети, которые вы хотите включить, где <INCLUDE> — путь к файлу. Например, см. раздел Пример файла включения или исключения.
-x EXCLUDE, --exclude EXCLUDE Путь к файлу, содержащему устройства и маски подсети, которые вы хотите исключить, где <EXCLUDE> — путь к файлу. Например, см. раздел Пример файла включения или исключения.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> Исключает TCP-трафик на любых указанных портах, где <EXCLUDE_TCP_PORT> определяет порт или порты, которые вы хотите исключить. Разделяйте несколько портов запятыми, без пробелов.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> Исключает трафик UDP на любых указанных портах, где определяет порт или порты <EXCLUDE_UDP_PORT> , которые вы хотите исключить. Разделяйте несколько портов запятыми, без пробелов.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> Включает TCP-трафик на любых указанных портах, где определяет порт или порты <INCLUDE_TCP_PORT> , которые вы хотите включить. Разделяйте несколько портов запятыми, без пробелов.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> Включает трафик UDP на любые указанные порты, где определяет порт или порты <INCLUDE_UDP_PORT> , которые вы хотите включить. Разделяйте несколько портов запятыми, без пробелов.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> Включает трафик VLAN по указанным идентификаторам VLAN, определяет идентификатор или идентификаторы VLAN, <INCLUDE_VLAN_IDS> которые вы хотите включить. Разделяйте несколько идентификаторов VLAN запятыми, без пробелов.
-p <PROGRAM>, --program <PROGRAM> Определяет компонент, для которого требуется настроить фильтр захвата. Используйте all в базовых сценариях использования для создания единого фильтра захвата для всех компонентов.

Для расширенных сценариев использования создайте отдельные фильтры захвата для каждого компонента. Дополнительные сведения см. в разделе Создание расширенного фильтра для определенных компонентов.
-m <MODE>, --mode <MODE> Определяет режим включаемого списка и имеет значение только при использовании включаемого списка. Используйте одно из следующих значений:

- internal: Включает все коммуникации между указанным источником и получателем
- all-connectedВключает все коммуникации между указанными конечными точками и внешними конечными точками.

Например, для конечных точек A и B, если вы используете этот internal режим, включенный трафик будет включать только обмен данными между конечными точками A и B.
Однако, если вы используете этот all-connected режим, включенный трафик будет включать все коммуникации между A или B и другими внешними конечными точками.

Пример файла включения или исключения

Например, файл включения или исключения .txt может содержать следующие записи:

192.168.50.10
172.20.248.1

Создание базового фильтра захвата с помощью пользователя admin

Если вы создаете базовый фильтр захвата от имени администратора , в исходной команде атрибуты не передаются. Вместо этого отображается ряд запросов, которые помогут вам создать фильтр захвата в интерактивном режиме.

Ответьте на отображаемые подсказки следующим образом:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    Выберите Y , чтобы открыть новый включаемый файл, в который можно добавить устройство, канал и/или подсеть, которые вы хотите включить в отслеживаемый трафик. Любой другой трафик, не указанный во включаемом файле, не принимается в Defender для Интернета вещей.

    Включаемый файл открывается в текстовом редакторе Nano . Во включаемом файле определите устройства, каналы и подсети следующим образом:

    Тип Описание Пример
    Устройство Определите устройство по его IP-адресу. 1.1.1.1 включает в себя весь трафик для этого устройства.
    Канал Определите канал по IP-адресам его исходного и конечного устройств, разделенным запятой. 1.1.1.1,2.2.2.2 включает в себя весь трафик для этого канала.
    Подсеть Определите подсеть по ее сетевому адресу. 1.1.1 включает весь трафик для этой подсети.

    Перечислите несколько аргументов в отдельных строках.

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    Выберите Y , чтобы открыть новый файл исключения, в который можно добавить устройство, канал и/или подсеть, которые вы хотите исключить из отслеживаемого трафика. Любой другой трафик, не указанный в файле исключения, принимается в Defender для Интернета вещей.

    Файл exclude открывается в текстовом редакторе Nano . В файле exclude определите устройства, каналы и подсети следующим образом:

    Тип Описание Пример
    Устройство Определите устройство по его IP-адресу. 1.1.1.1 Исключает весь трафик для этого устройства.
    Канал Определите канал по IP-адресам его исходного и конечного устройств, разделенным запятой. 1.1.1.1,2.2.2.2 Исключается весь трафик между этими устройствами.
    Канал по портам Определите канал по IP-адресам его исходного и конечного устройств, а также по порту трафика. 1.1.1.1,2.2.2.2,443 Исключается весь трафик между этими устройствами и использование указанного порта.
    Подсеть Определите подсеть по ее сетевому адресу. 1.1.1 Исключает весь трафик для этой подсети.
    Канал подсети Определите сетевые адреса каналов подсети для исходной и целевой подсетей. 1.1.1,2.2.2 Исключает весь трафик между этими подсетями.

    Перечислите несколько аргументов в отдельных строках.

  3. Ответьте на следующие запросы, чтобы определить любые порты TCP или UDP, которые следует включить или исключить. Разделите несколько портов запятой и нажмите ENTER, чтобы пропустить любой конкретный запрос.

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    Например, введите несколько портов следующим образом: 502,443

  4. In which component do you wish to apply this capture filter?

    Введите all для базового фильтра захвата. Для расширенных вариантов использования создайте фильтры захвата для каждого компонента Defender для Интернета вещей отдельно.

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    Этот запрос позволяет настроить, какой трафик находится в области. Укажите, хотите ли вы собирать трафик там, где в области находятся обе конечные точки, или только одна из них находится в указанной подсети. Допустимые значения:

    • internal: Включает все коммуникации между указанным источником и получателем
    • all-connectedВключает все коммуникации между указанными конечными точками и внешними конечными точками.

    Например, для конечных точек A и B, если вы используете этот internal режим, включенный трафик будет включать только обмен данными между конечными точками A и B.
    Однако, если вы используете этот all-connected режим, включенный трафик будет включать все коммуникации между A или B и другими внешними конечными точками.

    Режим по умолчанию — internal. Чтобы воспользоваться режимом all-connected , выберите Y его в командной строке, а затем введите all-connected.

В следующем примере показана серия запросов, которые создают фильтр записи для исключения подсети 192.168.x.x и порта 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Создание расширенного фильтра для определенных компонентов

При настройке расширенных фильтров захвата для определенных компонентов можно использовать исходные файлы включения и исключения в качестве базового фильтра или шаблона фильтра захвата. Затем настройте дополнительные фильтры для каждого компонента поверх основания по мере необходимости.

Чтобы создать фильтр захвата для каждого компонента, обязательно повторите весь процесс для каждого компонента.

Замечание

Если вы создали разные фильтры захвата для разных компонентов, выбор режима используется для всех компонентов. Определение фильтра захвата для одного компонента как internal и фильтра захвата для другого компонента как all-connected не поддерживается.

Пользователь командование Полный синтаксис команд
Администратор network capture-filter Никаких атрибутов.
cyberx, или admin с root-доступом cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Следующие дополнительные атрибуты используются пользователем cyberx для создания фильтров захвата для каждого компонента отдельно:

Свойство Описание
-p <PROGRAM>, --program <PROGRAM> Определяет компонент, для которого требуется настроить фильтр записи, где <PROGRAM> поддерживаются следующие значения:
- traffic-monitor
- collector
- horizon
- all: Создает один фильтр захвата для всех компонентов. Дополнительные сведения см. в разделе Создание базового фильтра для всех компонентов.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> Определяет базовый фильтр захвата для компонента horizon , в котором <BASE_HORIZON> находится фильтр, который вы хотите использовать.
Значение по умолчанию = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR Определяет базовый фильтр захвата для компонента traffic-monitor .
Значение по умолчанию = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR Определяет базовый фильтр захвата для компонента collector .
Значение по умолчанию = ""

Другие значения атрибутов имеют те же описания, что и в базовом варианте использования, описанном ранее.

Создание расширенного фильтра захвата с помощью пользователя admin

Если вы создаете фильтр захвата для каждого компонента отдельно от имени пользователя admin , в исходной команде атрибуты не передаются. Вместо этого отображается ряд запросов, которые помогут вам создать фильтр захвата в интерактивном режиме.

Большинство подсказок идентичны базовому сценарию использования. Ответьте на следующие дополнительные вопросы следующим образом:

  1. In which component do you wish to apply this capture filter?

    Введите одно из следующих значений в зависимости от компонента, который вы хотите отфильтровать:

    • horizon
    • traffic-monitor
    • collector

  2. Вам будет предложено настроить пользовательский фильтр захвата базы для выбранного компонента. Этот вариант использует фильтр захвата, настроенный на предыдущих шагах, в качестве базы или шаблона, в который можно добавить дополнительные конфигурации поверх базы.

    Например, если вы выбрали настройку фильтра захвата для компонента collector на предыдущем шаге, вам будет предложено: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    Введите Enter Y , чтобы настроить шаблон для указанного компонента, или N чтобы использовать фильтр захвата, настроенный ранее как есть.

Продолжайте работу с оставшимися подсказками, как в базовом сценарии использования.

Список текущих фильтров захвата для определенных компонентов

Используйте следующие команды, чтобы отобразить сведения о текущих фильтрах захвата, настроенных для датчика.

Пользователь командование Полный синтаксис команд
Администратор Используйте следующие команды для просмотра фильтров захвата для каждого компонента:

- Горизонт: edit-config horizon_parser/horizon.properties
- Монитор трафика: edit-config traffic_monitor/traffic-monitor
- Коллектор: edit-config dumpark.properties		 Нет атрибутов
cyberx, или admin с root-доступом Используйте следующие команды для просмотра фильтров захвата для каждого компонента:

- Горизонт: nano /var/cyberx/properties/horizon_parser/horizon.properties
- Монитор трафика: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- Коллектор: nano /var/cyberx/properties/dumpark.properties		 Нет атрибутов

Эти команды открывают следующие файлы, в которых перечислены фильтры захвата, настроенные для каждого компонента:

Имя Файл Недвижимость
горизонт /var/cyberx/properties/horizon.properties horizon.processor.filter
Монитор трафика /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
коллектор /var/cyberx/properties/dumpark.properties dumpark.network.filter

Например, с пользователем admin , с фильтром захвата, определенным для компонента сборщика , который исключает подсеть 192.168.x.x и порт 9000:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Сбросить все фильтры захвата

Используйте следующую команду, чтобы сбросить датчик до конфигурации захвата по умолчанию с помощью пользователя cyberx , удалив все фильтры захвата.

Пользователь командование Полный синтаксис команд
cyberx, или admin с root-доступом cyberx-xsense-capture-filter -p all -m all-connected Нет атрибутов

Если вы хотите изменить существующие фильтры записи, выполните предыдущую команду еще раз с новыми значениями атрибутов.

Чтобы сбросить все фильтры захвата с помощью пользователя admin , выполните предыдущую команду еще раз и ответьте N на все запросы о сбросе всех фильтров захвата.

В следующем примере показан синтаксис команды и ответ для пользователя cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Дальнейшие шаги

Дополнительные сведения о командах командной строки Defender для Интернета вещей